Hyökkääjät ottavat käyttöön haitallisia OAuth-sovelluksia vaarantuneissa pilvivuokralaisissa tavoitteenaan ottaa haltuunsa Microsoft Exchange -palvelimet roskapostin levittämiseksi.
Näin kertoo Microsoft 365 Defender Research Team, joka kertoi tällä viikolla, kuinka valtuustietojen täyttämishyökkäyksiä on käynnistetty riskialttiita tilejä vastaan, joissa ei ole käytössä monitekijätodennusta (MFA), minkä jälkeen hyödynnetään suojaamattomia järjestelmänvalvojatilejä ensimmäisen käyttöoikeuden saamiseksi.
Hyökkääjät pystyivät myöhemmin luomaan haitallisen OAuth-sovelluksen, joka lisäsi haitallisen saapuvan liittimen sähköpostipalvelimeen.
Muokattu palvelimen käyttöoikeus
"Nämä muutokset Exchange-palvelimen asetuksiin antoivat uhkatekijälle mahdollisuuden suorittaa ensisijainen tavoite hyökkäyksessä: lähettää roskapostiviestejä", tutkijat totesivat. kirjoitusta 22. syyskuuta. "Roskapostiviestit lähetettiin osana harhaanjohtavaa arpajaisjärjestelmää, jonka tarkoituksena oli huijata vastaanottajia rekisteröitymään toistuviin maksullisiin tilauksiin."
Tutkimusryhmä päätteli, että hakkerin motiivi oli levittää harhaanjohtavia roskapostiviestejä arvonnoista ja saada uhrit luovuttamaan luottokorttitiedot mahdollistaakseen toistuvan tilauksen, joka tarjoaisi heille "mahdollisuuden voittaa palkinto".
"Vaikka järjestelmä todennäköisesti johti ei-toivottuihin maksuihin kohteille, ei ollut todisteita avoimista turvallisuusuhkista, kuten tunnistetietojen kalastelu tai haittaohjelmien levittäminen", tutkimusryhmä huomautti.
Viesti huomautti myös, että kasvava joukko haitallisia toimijoita on ottanut käyttöön OAuth-sovelluksia erilaisiin kampanjoihin takaovista ja tietojenkalasteluhyökkäyksistä komento- ja ohjausviestintään (C2) ja uudelleenohjauksiin.
Microsoft suositteli tietoturvakäytäntöjen, kuten MFA:n, käyttöönottoa, jotka vahvistavat tilin tunnistetietoja, sekä ehdollisen pääsyn käytäntöjä ja jatkuvan pääsyn arviointia (CAE).
"Vaikka roskapostikampanja kohdistuu kuluttajien sähköpostitileihin, tämä hyökkäys kohdistuu yritysten vuokralaisiin käytettäväksi infrastruktuurina tässä kampanjassa", tutkimusryhmä lisäsi. "Tämä hyökkäys paljastaa siten tietoturvaheikkoudet, joita muut uhkatoimijat voisivat käyttää hyökkäyksissä, jotka voivat vaikuttaa suoraan yrityksiin."
MFA voi auttaa, mutta lisäkäytönvalvontakäytäntöjä tarvitaan
"Vaikka MFA on loistava alku ja olisi voinut auttaa Microsoftia tässä tapauksessa, olemme nähneet viime aikoina uutisissa kaikki MFA ei ole samanlaista”, toteaa David Lindner, Contrast Securityn CISO. "Turvallisuusorganisaationa meidän on aika aloittaa kohdasta "käyttäjätunnus ja salasana on vaarantunut" ja rakentaa valvontaa sen ympärille.
Lindner sanoo, että tietoturvayhteisön on aloitettava joistakin perusasioista ja noudatettava vähiten etuoikeuksien periaatetta asianmukaisten, liiketoimintalähtöisten, roolipohjaisten kulunvalvontakäytäntöjen luomiseksi.
"Meidän on asetettava asianmukaiset tekniset hallintalaitteet, kuten MFA - FIDO2 parhaaksi vaihtoehdoksi - laitepohjainen todennus, istunnon aikakatkaisut ja niin edelleen", hän lisää.
Lopuksi organisaatioiden on tarkkailtava poikkeavuuksia, kuten "mahdottomat kirjautumiset" (eli kirjautumisyritykset samalle tilille esimerkiksi Bostonista ja Dallasista, jotka ovat 20 minuutin välein); raa'an voiman yritykset; ja käyttäjä yrittää päästä luvattomiin järjestelmiin.
"Me pystymme siihen, ja voimme parantaa merkittävästi organisaation turvallisuusasentoa yhdessä yössä kiristämällä todennusmekanismejamme", Lindner sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
